Sicherheit und Compliance

Sicherheit und Compliance

Immer mehr Unternehmen, auch KMUs, müssen sich mit dem Thema Informationssicherheit auseinandersetzen. Internationale Unternehmen nehmen des öfteren auch ihre Lieferanten in die Pflicht, und verlangen Auskunft über deren Strategie zur Informationssicherheit. Mittels Fragebogen und Selbstdeklarationen werden einzelne Bereiche zur Informationssicherheit abgefragt. Dieser Prozess kann sehr mühsam sein. Ein Zertifikat, welches aufzeigt, dass man sich nach einem anerkannten Framework wie z.B. ISO 27001 richtet, erleichtert den Prozess erheblich und schafft nicht selten eine Differenzierung zu Mitbewerbern.

Die Sicherheit der Daten wird nicht nur durch technische Massnahmen und Werkzeuge bestimmt. Diese können nur helfen, die Sicherheit auf technischer Ebene durchzusetzen.

Viel wichtiger ist es, das Thema ganzheitlicher zu betrachten. Dabei geht es um Technik, Organisation, Menschen und Prozesse.

In den technischen Disziplinen schützt und verschlüsselt man die Daten. Dazu müssen die Daten klassifiziert werden, damit man weiss, welche Daten von vertraulichem bzw. öffentlichem Charakter sind. Die vertraulichen Daten werden dadurch manuell oder automatisch verschlüsselt. So sind die Inhalte auch dann sicher, wenn diese das Unternehmensnetzwerk oder die Unternehmensgeräte verlassen.

Azure Information Protection oder Sensitivity Labels?

Im Microsoft 365 Compliance Center lassen sich Richtlinien zur Klassifizierung, Kennzeichnung und Verschlüsselung von Daten erstellen. Diese Richtlinien und “Labels” können dann auf Dateien appliziert werden, entweder manuell oder automatisch. Somit stellt man sicher, dass die als vertraulich gekennzeichneten Informationen in Email/Exchange, Onedrive, Microsoft Teams, Sharepoint usw. geschützt sind.

Beim Öffnen des Dokumentes wird in Echtzeit die Berechtigung des Office 365 Benutzers geprüft. Nachträglich können Berechtigungen entzogen werden, so dass Mitarbeiter, welche das Unternehmen verlassen haben, den Zugriff auch auf die “offline” Kopie zu Hause verlieren. Durch zusätzliche Richtlinien kann man das Ausdrucken, die Screenshots oder gar Copy & Paste unterdrücken.

Die Funktionen stehen nativ in den Office 365 Applikationen zur Verfügung. Immer mehr Drittanbieter integrieren die “Sensitivity Labels” von Microsoft in ihren Produkten. Mittels Rechtsklick können aber alle Dateien im Windows Explorer manuell verschlüsselt werden.

Microsoft Endpoint Manager ehemals Intune

Die Mobile Device Manager (MDM) und Mobile Application Manager (MAM) Lösungen von Microsoft haben den Namen von Intune zu Microsoft Endpoint Manager gewechselt. Mit Microsoft Endpoint Manager lassen sich Endgeräte verwalten, konfigurieren und auf ihre “Vertrauenswürdigkeit” überprüfen.
Durch den Endpoint Manager lassen sich sämtliche Formen von COBO (Corporate Owned / Business Only), COPE (Company Owned / Personally Enabled), CYOD (Chose Your Own Device), BYOD (Bring Your Own Device) realisieren. Dabei werden PC/MAC, Tablets und Smartphones der gängigen Hersteller unterstützt.

Je nach Eigentümerschaft des Gerätes (Unternehmen / Privat) wird entweder das ganze Gerät oder nur die Daten und Applikationen verwaltet. Ist das Gerät privat, kann auch im Fall der Fälle ein sogenannter “selective Wipe” durchgeführt werden. So werden nur Firmendaten & Applikationen auf dem Endgerät gelöscht, die privaten Ferienfotos bleiben erhalten.

Was ist Conditional Access?

Mittels Endpoint Manager werden die Konditionen (Bedingungen) festgelegt, welche erfüllt sein müssen, damit mit dem Gerät auf Firmendaten zugegriffen werden kann.
Typischerweise sind folgende Bedingungen zwingend zur Freigabe auf Firmendaten, wie zum Beispiel die Verschlüsselung des Gerätes, das entsperren des Gerätes muss mit Passwort/PIN erfolgen, ein AntiVirus installiert und aktiv sein, sowie eine Firewall uvm.

Falls eine Kondition verletzt wird,wie zum Beispiel durch einen deinstalliertenAntiVirus,  kann der Zugang zu den Firmeninformationen unterbunden werden. Es kann eine zusätzliche Authentisierungsmethode wie Multifaktor (z.B. SMS Code) erzwungen werden, bis das Endgerät wieder “compliant”, also den festgelegten Konditionen entspricht.

Warum eine ISO 27001 Zertifizierung?

ISO 27001 ist eine internationale Norm, die von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht wurde. Sie beschreibt, wie Informationssicherheit in einem Unternehmen gewährleistet werden kann. Die letzte Revision dieser Norm wurde im Jahr 2013 veröffentlicht. Der vollständige Name lautet daher ISO/IEC 27001:2013. Die erste Revision stammt aus dem Jahr 2005 und wurde basierend auf dem britischen Standard BS 7799-2 entwickelt.

ISO 27001 kann in jeder Art von Organisation umgesetzt werden – kommerziell oder gemeinnützig, privat oder staatlich, klein oder groß. Sie wurde von weltweit führenden Experten für Informationssicherheit verfasst und stellt die Methodologie für Informationssicherheit in einem Unternehmen zur Verfügung. Der Standard ermöglicht auch die Zertifizierung eines Unternehmens, wobei eine unabhängige Zertifizierungsstelle bescheinigt, dass das Unternehmen Informationssicherheit in Übereinstimmung mit der ISO 27001 Norm umgesetzt hat.

ISO 27001 ist mittlerweile die weltweit bekannteste Norm für Informationssicherheit und viele Unternehmen haben sich bereits zertifizieren lassen.

Der Fokus der ISO 27001 Norm liegt auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in einem Unternehmen. Dazu muss ermittelt werden, welche potenziellen Probleme/Risiken im Zusammenhang mit den Informationen auftreten könnten, um danach zu definieren, was zur Vermeidung dieser Probleme/Risiken unternommen werden muss (z.B. Risikominderung oder Risikobehandlung).

Die Hauptphilosophie der ISO 27001 Norm basiert daher auf dem Umgang mit Risiken. Hierbei ist es zentral herauszufinden, was die Risiken sind und diese dann systematisch zu behandeln.

Die Sicherheitsmaßnahmen, welche umgesetzt werden müssen, bestehen gewöhnlich aus Richtlinien/Weisungen, Verfahren oder Prozesse und technischer Umsetzung deren (z.B. Software und Hardware). In den meisten Fällen hat ein Unternehmen bereits die nötige Hardware und Software in Gebrauch, nutzt diese jedoch auf unsichere Weise. Daher besteht ein grösserer Teil der Umsetzung der ISO 27001 Norm in der Erstellung und Einführung organisatorischer Regeln (z.B. das Schreiben von Weisungen und Prozessen), die zur Vermeidung von Sicherheitslücken benötigt werden.

Da eine solche Umsetzung den Umgang mit einer Vielzahl an Richtlinien, Verfahren, Personen, Werten usw. erfordert, wird in der ISO 27001 Norm auch beschrieben, wie all diese Elemente in einem Managementsystem für Informationssicherheit (ISMS) zusammengefügt werden.

Informationssicherheit umfasst also nicht nur die IT-Sicherheit (z.B. Firewalls, Anti-Viren-Software usw.) – sondern auch den Umgang mit Prozessen, juristischen Fragen, Personal, physischen Schutz usw.

Es gibt 4 grundlegende Vorteile, von denen ein Unternehmen nach der Umsetzung der Norm für Informationssicherheit profitieren kann:

Einhaltung gesetzlicher Vorschriften – Bezüglich der Informationssicherheit gibt es mehr und mehr Gesetze, Vorschriften und vertragliche Anforderungen, von denen den meisten durch die Umsetzung von ISO 27001 entsprochen werden kann. Die ISO 27001 Norm hilft Ihnen hier den Überblick zu behalten und die nötigen Massnahmen und Kontrollen umzusetzen.

Erzielung eines Wettbewerbsvorteils – Die Umsetzung der ISO 27001 Norm mit einer entsprechenden Zertifizierung kann gegenüber konkurrierenden Unternehmen einen Vorteil im Auge der Kunden bieten. Da diese ihre Informationen bei Ihnen sicherer wissen als bei anderen Unternehmen.

Niedrigere Kosten – Das Hauptanliegen der ISO 27001 Norm ist es, Störfälle bezüglich der Sicherheit zu vermeiden. Jeder Zwischenfall, ob groß oder klein, kostet Sie Geld – durch deren Vermeidung kann Ihr Unternehmen beträchtliche Kosten sparen. Und das Beste ist: Die Investition in ISO 27001 ist sehr viel kleiner als die erreichten Einsparungen.

Bessere Organisation – Typischerweise haben schnell wachsende Unternehmen keine Zeit, um Prozesse und Verfahren zu definieren – Oft wissen die Angestellten dann nicht, was von wem erledigt werden muss. Die Umsetzung von ISO 27001 hilft dieses Problem zu lösen. Die Unternehmen halten nun ihre Hauptprozesse schriftlich fest (auch die, welche mit IT-Sicherheit nichts zu tun haben) und reduzieren so die Leerlaufzeiten der Mitarbeiter.

ISO 27001, ISAE, NIST oder COBIT?

Hier gibt es leider keine einfache und abschliessende Antwort. Es hängt stark davon ab was die strategische Ausrichtung der Unternehmung ist. Wenn eine Zertifizierung angestrebt wird, ist die Umsetzung der ISO 27001 Norm sicher empfehlenswert, da als einzige zertifizierbar. Andere Frameworks oder Standards sind ähnlich bis gleich aufgebaut und verfolgen dasselbe Ziel. Wichtig bei allen Frameworks und Standards ist der Schutz von Informationen und die Erkennung und Behandlung von Risiken. Wenn Sie nicht wissen, welcher Standard oder welches Framework für Sie am passendsten ist, beraten wir Sie gerne.

Unser «Security & Compliance» Angebot

ISO 27001

Beratung für Informationssicherheit und Datenschutz

Begleitung für Zertifizierungen

Security Officer as a Service

Microsoft Endpoint Manager

Automatische Geräteinstallation und Konfiguration mit Windows Autopilot

Einstellen der Gerätesicherheit

Überprüfen der Gerätecompliance

Wipe & Selective Wipe

Conditional Access

Sophos

AntiVirus für Endgeräte

Ransomeware Protection

Wir beraten Sie gerne - jetzt kostenloses Beratungsgespräch buchen.

Termin vereinbaren